移动端产品安全框架介绍

1、移动端产品安全框架介绍技术创新 变革未来移动端产品安全现状谁知道?移动端产品安全现状历史安全问题?主要议题移动端产品安全保障数据安全Acitvity组件安全、Webview代码执行漏洞、明文存储、模版交互、隐私数据、核心算法保护开发安全安全意识、环境和测试安全、第三方SDK安全开发业务及接口安全输入与输出、验证与授权、核心接口保护安全运维配置错误、匿名、弱口令安全工具漏洞智能检测移动端产品最佳实践数据安全Acitvity组件安全Webview代码执行漏洞明文存储模版交互隐私数据核心算法保护Acitvity组件安全默认发布android:exported=false 私有Activity不应被其

2、他应用启动Acitvity组件安全Acitvity组件安全当Activity返回数据时候需注意目标Activity是否有泄露信息的风险?验证目标Activity是否恶意app，规避受到intent欺骗，可 用hash签名验证。签名验证内部（in-house）appWebview代码执行漏洞明文存储明文存储模版交互交互参数过滤模版交互隐私数据打码模糊核心算法保护算法强度核心算法保护重要参数老版本泄露反编译帐号密码加密密钥核心算法开发安全安全意识专业知识开发环境测试环境SDK调用安全开发人员环境第三方开发人员安全意识规范分享源代码开发人员安全意识保护帐号和密码开发环境和测试环境开发工具和代码包来源

3、的安全性第三方SDK安全开发百度WormHole虫洞漏洞开放40310端口无验证授权高权限操作业务及接口安全数据库操作【Sql注入】文件操作【上传 下载】输入与输出【xss】验证与授权【CSRF、登陆】核心接口保护Sql注入Web应用程序在操作数据库的Sql语句中插入了用户可控的 变量，导致可以通过可控变量组合Sql执行语句恶意操作数 据库。Sql注入漏洞searchStr参数存在注入可直接操作数据库Sql注入 - 推荐修复代码实例String username = “admin or 1=1-”;String password = “foo”Statements s = connection

4、.prepareStatement(“select * fromusers where username = ? And password = ?”)s.setString(1,username);S.setString(2,password);Sql注入 安全性增强数据库连接帐号权限对用户输入验证数据类型检验使用数据先检验文件操作Java.IO.FileInputStreamJava.io.FileOutputStreamJava.io.FileReaderJava.io.fileWriter/./././文件上传 文件名绕过文件下载XSSWeb网页里输出内容包含用户可控制的内容，导致嵌入的

5、恶意代码得到执行而进行攻击。XSS-常见漏洞数据交互的地方Get Post Cookies Headers反馈与留言富文本编辑各类标签插入和自定义数据输出的地方用户资料关键词，标签，说明文件上传XSS-常见地方XSS-常见漏洞留言处常见XSS漏洞附件名处XSS-推荐修复)， 转义（1html以下（2）type（3）（4）（5）html 转 义 ： entities(string,quotestyle,character-set 字符 “返回Json数据时，设置页面content-:application/json，需要json_encode在js中innerHTML需要htmlencode。在

6、cookie启用httponly属性。富文本编辑器过滤，建议使用白名单。CSRF攻击者通过调用第三方网站的恶意脚本或者利用程序来伪造请求。利用用户的浏览器向攻击的应用程 序提交一个已经预测好请求参数的 操作数据包。利用的实质是截持用户的会话状态。CSRF-浏览器本地Cookie拦截IE6/IE7/IE8/Safari发送FireFox 2/firefox3/Opera/Chrome内存Cookie均发送多标签浏览器同一进程，内存Cookie没有清除发微博处CSRF-推荐修复验证请求来路（不允许为空）验证码一次性令牌验证与授权任意用户登陆漏洞验证与授权手机验证码泄露验证与授权手机验证码暴力破解验

7、证与授权重要参数通过Referer泄露核心接口保护Json劫持核心接口保护老旧接口兼容及时更新统一下线旧接口兼容各个端移动端接口隔离禁止互相调 用调用保护参数跟踪次数限制来源白名单安全运维- 匿名内网未授权访问安全运维 配置错误开放权限安全运维 - 弱口令太弱密码统一密码admin/123456 test/1234qwer manage/1qazWSX root/123456安全运维 密码保护密码选择 易记不易猜FLZX3000cY4yhx9day飞流直下三千尺，疑似银河下九天密码策略大于8位 数字+字母+特殊符号组定期更换(三个月)一个密码不能多用安全工具 漏洞智能检测最简模式 扩展插件 细

8、分精准 自定义协议安全工具 ProxyScan基于域名 的检测基于Fiddler数 据检测基于日志 数据检测安全工具 ProxyScan安全工具 ProxyScan移动端产品最佳实践培训安全意识 开发安全 标准规范需求设计实现验证发布运营安全开发 威胁建模 最佳开发 黑盒测试 上线测试 安全监控 需求纵深防御 实践代码审计 生产测试 定期检测 安全编码安全防护 业务测试 渗透测试 应急响应规范框架安全函数 应用加固移动端产品最佳实践需求安全开发需 求安全编码规 范设计威胁建模纵深防御移动端产品最佳实践实现最佳开发实践安全防护框架安全函数应用加固验证黑盒测试代码审计业务测试移动端产品最佳实践发布上线测试生产测试 渗透测试运营安全监控定期检测 应急响应议题总结移动端产品安全保障数据安全Acitvi